1. Le parti accettano la verifica continua in loco di tutto l'utilizzo dei chip da parte dell'AISI presso i CCC dichiarati. I metodi utilizzati per la verifica saranno determinati e aggiornati dal Segretariato Tecnico, in conformità con la procedura descritta nell'Articolo III. Il Consiglio Esecutivo può porre il veto su tali decisioni con un voto a maggioranza dei due terzi. Tali metodi possono includere, a titolo esemplificativo ma non esaustivo:
   1. Ispettori in presenza
   2. Telecamere a prova di manomissione
   3. Misurazioni delle caratteristiche di alimentazione, termiche e di rete
   4. Meccanismi hardware integrati nel chip, compresi quelli installati a posteriori
   5. Dichiarazione dei carichi di lavoro e delle operazioni dei chip da parte dell'operatore CCC
   6. Ri-esecuzione dei carichi di lavoro dichiarati presso una struttura AISI per confermare la veridicità delle dichiarazioni
2. L'obiettivo di questa verifica sarà garantire che i chip non vengano utilizzati per attività vietate, come l'addestramento di IA su larga scala descritto nell'Articolo IV.
3. Nei casi in cui l'AISI ritenga che gli attuali metodi di verifica non possano fornire garanzie sufficienti che l'hardware per l'IA non venga utilizzato per attività vietate, tale hardware deve essere spento e la sua inoperatività deve essere continuamente verificata da ispettori in loco o da altri meccanismi di verifica approvati dall'AISI.
4. L'AISI può imporre varie restrizioni sul funzionamento dei chip al fine di garantire una verifica adeguata. Tali restrizioni possono includere, a titolo esemplificativo ma non esaustivo:
   1. Restrizioni sulla larghezza di banda e sulla latenza tra chip diversi, o tra chip e la rete del loro data center, per distinguere l'inferenza consentita dall'addestramento vietato.
   2. Restrizioni sul numero o sulla velocità di FLOP/s o sulla larghezza di banda della memoria a cui i chip possono operare, per distinguere l'inferenza consentita dall'addestramento vietato o da altri carichi di lavoro vietati.
   3. Restrizioni sulla precisione numerica delle operazioni dei chip, per differenziare i carichi di lavoro per l'IA da quelli non-IA.
5. L'AISI adotterà un approccio differenziato alla verifica dei diversi CCC, in base alla loro probabilità di essere utilizzati per attività legate all'IA e alla loro sensibilità in relazione alla sicurezza nazionale.
6. L'AISI guiderà la ricerca e lo sviluppo di tecnologie migliori per il monitoraggio e la verifica dell'uso dei chip. Le parti sosterranno questi sforzi [maggiori dettagli saranno forniti in un Allegato].

Note

I Paesi vorranno assicurarsi che i chip per l'IA esistenti non vengano utilizzati per l'addestramento di IA pericoloso. Ci saranno anche ragioni legittime per utilizzare questi chip per l'esecuzione di servizi di IA esistenti come (le versioni già esistenti di) ChatGPT. Per gestire questa tensione, l'AISI può applicare misure di verifica ai chip per l'IA per garantire che non siano impiegati in attività proibite.

Ciò costituisce quindi un incentivo positivo per l'adesione al Trattato: si possono continuare a usare i chip per l'IA, a condizione che un'attività di supervisione possa verificare che non vengano utilizzati in modo da violare il Trattato (ad esempio per l'addestramento di IA su larga scala). Sebbene il monitoraggio continuo da parte dell'AISI possa sembrare sgradevole, riteniamo che sia la migliore soluzione disponibile. Dato l'obiettivo di impedire l'addestramento di IA su larga scala, esistono due approcci principali: assicurarsi che nessuno disponga dell'hardware necessario (cioè che i chip per l'IA non possano esistere), oppure assicurarsi che l'hardware esistente non venga utilizzato per l'addestramento su larga scala (ovvero il tracciamento e la verifica dell'uso dei chip, come descritto negli Articoli V, VI e VII). Ciò è concettualmente analogo alle salvaguardie dell'AIEA: affinché un Paese non dotato di armi nucleari sia autorizzato a disporre di materiali e impianti nucleari, è necessario che l'AIEA effettui ispezioni per garantire che il loro uso sia limitato a scopi pacifici.

Affinché la verifica dell'uso dei chip sia efficace, l'AISI necessita di meccanismi che forniscano garanzie credibili del fatto che i chip per l'IA non vengano utilizzati in modi proibiti da questo Trattato. La soluzione più semplice consisterebbe nel richiedere lo spegnimento di tutti i chip, ma ciò impedirebbe alle Parti di beneficiare dell'uso dei chip per scopi non pericolosi. La verifica potrebbe essere facilitata anche da mezzi tecnologici, con la riserva che la tecnologia attuale probabilmente presenta vulnerabilità di sicurezza che consentirebbero ai proprietari dei chip di eludere le misure di monitoraggio. Dato l'attuale stato embrionale della tecnologia di verifica, quest'ultima richiederebbe probabilmente un monitoraggio continuo in loco, oppure lo spegnimento dei chip fino alla maturazione dei mezzi tecnologici. Tuttavia, una volta che la tecnologia di monitoraggio sarà matura, solidi meccanismi di governance basati sull'hardware potrebbero consentire il monitoraggio remoto e affidabile dei chip.^*

Varie restrizioni e limiti potrebbero rendere più facile monitorare l'uso dei chip. I diversi carichi di lavoro legati all'IA, quali l'addestramento e l'inferenza, hanno requisiti tecnici differenti, e queste differenze potrebbero potenzialmente costituire la base per la verifica (se fossero sufficientemente robuste).

Per esempio, un meccanismo di verifica potrebbe consistere nel porre dei limiti all'interconnessione: limitare la quantità di comunicazione che un certo insieme di chip può avere con il mondo esterno usando cavi di rete a bassa larghezza di banda. In pratica, si prende un piccolo gruppo di chip — diciamo 8 H100 — e si limita la loro comunicazione esterna a un livello talmente basso da permettere ai chip di eseguire solo inferenze in modo efficiente, ma non di essere usati efficientemente per l'addestramento su larga scala. Questo funziona perché (con gli algoritmi del 2025) l'addestramento ha requisiti di comunicazione molto più elevati rispetto all'inferenza. Questo meccanismo sarebbe utile se l'esecuzione delle IA esistenti fosse accettabile, mentre non lo fosse l'addestramento di nuove IA.

Ci sono varie sfumature in questi meccanismi e molti altri potenziali meccanismi di verifica, quindi rimandiamo i lettori curiosi ai precedentilavorisull'argomento. Questo Articolo affida all'AISI il compito di sviluppare meccanismi di verifica migliori e di implementarne di diversi, definiti in senso lato. Riteniamo che questa flessibilità sia necessaria a causa della rapida evoluzione del settore dell'IA e della difficoltà di prevedere sviluppi che potrebbero invalidare i metodi di verifica. Inoltre, lo stato della ricerca sulla verifica dell'IA è nascente, e sono necessari ulteriori progressi prima che l'AISI possa disporre di un solido insieme di strumenti.

L'Articolo IV vieta l'addestramento su larga scala delle IA. Se al momento dell'entrata in vigore della verifica non fossero ancora state addestrate IA altamente potenti (e quindi pericolose), la verifica potrebbe concentrarsi specificamente sull'addestramento. Tuttavia, qualora fossero già state create IA sufficientemente potenti, potrebbe essere necessario monitorare anche se vengano implementate su chip per l'IA o quali attività svolgano: la verifica non potrebbe più concentrarsi sulla prevenzione dell'addestramento. La verifica sarebbe molto più difficile se fossero stati creati sistemi di IA sufficientemente pericolosi (ad esempio, quelli che potrebbero contribuire in modo sostanziale alla ricerca e sviluppo nel campo dell'IA), poiché verificare che non svolgano attività proibite sarebbe più difficile che verificare che non si stia effettuando un addestramento di IA su larga scala. Concretamente, sarà probabilmente più facile distinguere tra l'addestramento e l'esecuzione delle IA che tra l'esecuzione di IA per un tipo di compito e per un altro. A causa di questa differenza nella difficoltà di verifica, l'attuazione di questo Trattato sarebbe molto più semplice in un mondo in cui il progresso delle capacità dell'IA si arrestasse presto. Se invece tale progresso dovesse continuare, la verifica dell'uso dei chip potrebbe richiedere più lavoro, spese e restrizioni.

Allo stesso modo, potrebbe essere auspicabile monitorare il contenuto dell'inferenza dell'IA per assicurarsi che le IA non vengano usate per scopi dannosi. Questo tipo di monitoraggio è già applicato oggi da molte aziende del settore, ad esempio per rilevare se gli utenti stiano cercando di usare le IA per creare armi biologiche. Potrebbe essere auspicabile applicare un monitoraggio simile a livello globale, a condizione che i relativi rischi per la privacy e la sicurezza possano essere mitigati.

Il Paragrafo 5 di questo Articolo consente all'AISI di utilizzare metodi di verifica diversi per CCC diversi. Una delle ragioni di questa discriminazione è di ordine pratico: CCC diversi richiederanno approcci di verifica diversi al fine di stabilire con fondata fiducia che non vengano utilizzati per lo sviluppo di IA pericolose. Per esempio, i grandi data center che in precedenza venivano usati per l'addestramento di IA di frontiera avrebbero maggiore potenzialità di contribuire all'addestramento proibito, quindi per loro potrebbe essere richiesto un monitoraggio più intenso.

In secondo luogo, una discriminazione negli approcci di verifica renderebbe il trattato più accettabile, richiedendo un monitoraggio meno invasivo per i CCC sensibili. Ad esempio, se le agenzie di intelligence o le forze armate non vogliono alcun monitoraggio dei loro data center da parte dell'AISI, e questa disposizione aiuta a trovare un equilibrio. Sarebbe comunque necessario verificare che tali data center non vengano utilizzati per attività di IA pericolose, e l'AISI collaborerebbe con questi gruppi per assicurarsi di ottenere le informazioni necessarie, rispettando al contempo le esigenze di privacy e sicurezza dei proprietari dei CCC. D'altra parte, consentire protocolli di verifica diversi potrebbe compromettere la sostenibilità del trattato se questi fossero considerati iniqui, soprattutto se il relativo processo decisionale risultasse sbilanciato.

Il piano esposto in questo trattato prevede di consentire la continuazione dell'uso e della produzione di chip. Questo permette al mondo di beneficiare di questi chip. Un approccio alternativo consiste nel fermare la produzione di nuovi chip e/o distruggere quelli esistenti. Se i chip venissero distrutti, in assenza di progressi algoritmici, il tempo di breakout (cioè il tempo che intercorre tra l'inizio di attività pericolose da parte di un attore e il momento in cui queste avrebbero successo se non venissero fermate) si allungherebbe, perché gli attori dovrebbero prima produrre molti chip di IA (il che sarebbe probabilmente rilevabile e potrebbe richiedere anni o decenni, a seconda dello stato della catena di fornitura dei chip). Pertanto, la distruzione dei chip comporterebbe il vantaggio significativo di tempi di breakout molto più lunghi e una maggiore difficoltà nello sviluppo di IA pericolose. Tuttavia, comporterebbe anche un costo notevole, non consentendo al mondo di beneficiare di questi chip. Poiché riteniamo fattibile tracciare i chip e verificarne l'utilizzo, la nostra bozza di trattato segue questa strada piuttosto che quella dell'eliminazione dei chip per l'IA. Entrambe le strade, però, hanno i loro meriti.

Precedenti

Quando abbiamo parlato dei precedenti per l'Articolo VI, abbiamo descritto il monitoraggio continuo degli ex siti di produzione di missili a medio raggio nell'ambito del trattato INF, che, pur permettendo la pesatura e la scansione non distruttiva dei veicoli in uscita dagli impianti, non consentiva agli ispettori di entrare nei camion o nei siti stessi. Un monitoraggio perimetrale analogo dei data center può fornire alcuni indizi sulle operazioni in base al consumo energetico, alle emissioni termiche e alla larghezza di banda della rete. Tuttavia, per avere una ragionevole certezza che non si verifichino operazioni di IA soggette a restrizioni, sarà probabilmente necessaria una combinazione degli elementi elencati al Paragrafo 1 del nostro Articolo VII, che include telecamere a prova di manomissione, meccanismi hardware integrati nel chip, e ispettori in loco.

Tali pratiche sono già prassi di routine per l'Agenzia internazionale per l'energia atomica, che fa sempre più ricorso a tecnologie di sorveglianza attive 24 ore su 24 per integrare le ispezioni:

Oltre un milione di dati crittografati sulle salvaguardie vengono raccolti da oltre 1400 telecamere di sorveglianza e 400 sensori di radiazioni e di altro tipo in tutto il mondo. Più di 23.000 sigilli installati negli impianti nucleari garantiscono il contenimento di materiali e attrezzature.

Uno dei metodi usati nell'ambito dello START I per verificare la conformità alle caratteristiche prestazionali dei missili era la condivisione di quasi tutti i dati telemetrici trasmessi dai sensori di volo durante i test, come specificato nel protocollo telemetrico, che richiedeva anche alle parti di fornire qualsiasi apparecchiatura di riproduzione e informazioni sulla formattazione dei dati necessarie per interpretarli. A seconda della combinazione di metodi di verifica adottati, un'agenzia internazionale di superintelligenza può utilizzare metodi analoghi, basandosi sul monitoraggio leggero, che è prassi comune per i fornitori di cloud computing per la raccolta di informazioni sui carichi di lavoro dei clienti.

Il monitoraggio continuo da parte del governo delle strutture commerciali private (come la maggior parte dei data center) ha anche numerosi precedenti. La Commissione per la regolamentazione nucleare degli Stati Uniti, incaricata di supervisionare la sicurezza dei reattori nucleari nazionali, disloca due ispettori residenti in ogni centrale elettrica commerciale degli Stati Uniti, e i produttori di carne statunitensi non possono effettuare operazioni di macellazione se il personale di ispezione del FSIS^† non è sul posto per supervisionarle.